© Frank Ziemann – Update: 02.09.2009
Extra-Blatt
Wurm: W32/Navidad (I-Worm.Navidad)
Wurm mit kleinen Fehlern verhindert Start aller EXE-Dateien
Navidad ist ein Wurm, der sich per E-Mail verbreitet. Er kommt als Dateianhang mit dem Dateinamen "Navidad.exe" (Größe: 32 KB). Wird diese Datei ausgeführt, erscheint eine Meldung mit dem Titel "Error" und dem Text "UI" und im System-Tray (rechts unten in der Task-Leiste) erscheint ein Icon, das aus einem blauen Auge besteht.
Fährt der Mauszeiger über das 'Auge', erscheint der Text "Lo estamos mirando...", was soviel bedeutet wie "Wir beobachten Dich...". Klick man auf das Icon, erscheint eine Dialog-Box mit dem Text "Nunca presionar este boton" ("Drücke niemals diesen Knopf"). Klick man auf diesen Knopf, erscheint eine weitere Meldung:
-->
Sie trägt den Titel "Feliz Navidad" ("Frohe Weihnachten") und den Text "Lamentablemente cayo en la tentacion y perdio su computadora" ("Leider erlag er der Versuchung und verlor seinen Computer"). Schließt man die Dialog-Box mit dem [X] statt auf den Knopf zu drücken, meldet das Programm "buena eleccion" ("gute Wahl"). Dieses Spielchen hat jedoch keinerlei Auswirkung, es dient nur zur Ablenkung.
Eine Kopie der Navidad.exe wird im Windows\System-Verzeichnis als "winsrvc.vxd" abgelegt und (fehlerhaft!) in die Registry eingetragen, damit sie bei jedem Windows-Start geladen wird:
HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
Win32BaseServiceMOD = "C:\WINDOWS\SYSTEM\Winsvrc.exe"
HKEY_CLASSES_ROOT\exefile\shell\open\command\
(Standard) = "C:\WINDOWS\SYSTEM\Winsvrc.exe "%1" %"
Alle Mails, die Sie von nun an erhalten, sollten von W32/Navidad beantwortet werden. Die Antwort-Mails enthalten
wiederum die Datei Navidad.exe. Betroffen sind Anwender von MS Outlook und Outlook Express
sowie anderer MAPI-konformer Mail-Clients (was die Weiterverbreitung von infizierten Rechnern aus angeht).
Soweit jedenfalls die Theorie des Autors. Durch den obigen falschen Eintrag (Endung 'exe' statt 'vxd',
oder andersrum: Datei wird mit falscher Endung angelegt) kann der Wurm nicht aktiv werden. Es ist allerdings
denkbar, dass auch Versionen unterwegs sind, die diesen Fehler nicht mehr haben.
Der zweite Eintrag hat allerdings noch weitaus gravierendere Folgen:
Die Ausführung aller EXE-Dateien wird nach dem nächsten Windows-Neustart verhindert!
W32/Navidad entfernen
Starten Sie den Rechner auf keinen Fall neu, wenn Sie die Navidad.exe ausgeführt haben!
Um W32/Navidad wieder zu entfernen, löschen Sie die Dateien "Navidad.exe" und "winsrvc.vxd" und
entfernen Sie den ersten der obigen Registry-Einträge und korrigieren Sie den zweiten. Dieser muss lauten:
HKEY_CLASSES_ROOT\exefile\shell\open\command\
(Standard) = "%1" %*
Dazu müssen Sie allerdings die Datei regedit.exe vorübergehend in regedit.com umbennen, da Dateien mit der Endung ".exe" ja nun nicht mehr ausgeführt werden können.
Haben Sie den Rechner bereits neu gestartet oder heruntergefahren, starten Sie ihn mit reinem DOS und importieren Sie diese REG-Datei (die Sie natürlich auch verwenden können, wenn Sie noch nicht neu gestartet haben, s.o.):
C:\>regedit naviddis.reg
Starten Sie nun Windows und löschen Sie die Dateien "Navidad.exe" und "winsrvc.vxd".
Alternativ können Sie auch ein Programm von Symantec verwenden, das W32/Navidad entfernt.
Scannen Sie den Rechner zum Abschluss mit einem Antivirus-Programm, das W32/Navidad erkennt. Für die meisten Antivirus-Programme dürften bereits Updates verfügbar sein. [Antivirus-Programme]
Infos und Updates von Antivirus-Firmen zu W32/Navidad:
- AVP (engl.)
- Computer Associates (engl.)
- F-Secure (engl.)
- Panda Software (engl.)
- Network Associates (engl.)
- Sophos (engl.)
- Symantec (engl.)